AIX_SSH配置手册簿

《AIX_SSH配置手册簿》由会员分享，可在线阅读，更多相关《AIX_SSH配置手册簿（13页珍藏版）》请在装配图网上搜索。

1、SSH配置完全手册、八 、亠刖言为何使用OpenSSH ?您每天使用的标准网络服务（如FTP、Tel net 、RCP和远程Shell （rsh） 等）在封闭环境中运行良好，但使用这些服务在网络上传输的信息是未加密的。任何人都可以在您的网络或远程计算机上使用包嗅探器查看交换的信息，有时甚至可以查看密码信息。而且，使用所有此类服务时， 在登录过程中用于自动登录的选项会受到限制，并且通常依赖于将纯文本密码嵌入到命令行才能执行语句，从而使登录过程变得更加不安全。开发的安全Shell （SSH）协议可以排除这些限制。SSH能够为整个通信通道提供加 密，其中包括登录和密码凭据交换，它与公钥和私钥一起使用

2、可以为登录提供自动化身份验证。您还可以将SSH用作基础传输协议。以这种方式使用 SSH意味着在打开安全连接后， 加密通道可以交换所有类型的信息，甚至HTTP和SMTP可以使用该方法来保证通信机制的安全。OpenSSH 是 SSH 1 和 SSH 2协议的免费实现。它最初是作为Ope nBSD(Berkeley 或 Linux?Software Distributio n）操作系统的和类似操作系统的常规解决方案。部分开发的，现在被发布为 UNIX安装 Ope nSSHOpenSSH是免费软件，可以从Ope nSSH 的主要下载（请参见参考资料）。可以使用多种系统（包括Linux HP-UX、AI

3、X? Solaris 、Mac OS X等）上的源代码构建 OpenSSH 系统。通常可以找到所选平台和版本的预编译二进制代码。有些供应商甚至作为操作系统的一部分提供OpenSSH 工具包。要构建OpenSSH，您需要以下容：?C编译器（GNU C编译器（gcc）或类似编译器）?Zlib -压缩库?OpenSSL -安全套接字层（SSL） 安全库在AIX上安装SSH ,需要安装OpenSSL来获得支持.否则，安装会不成功，报错 信息提示也要先安装 Ope nSSL .OpenSSL可以登陆IBM官网下载，SSH 软件从 id=127997上下载.环境说明实验环境机器为：M85 , P630系统

4、版本均为 AIX 5.3根据系统版本来下载 OpenSSL和OpenSSH的版本.Open SSL : Ope nSSH : 安装软件安装顺序为先安装OpenSSL , 后安装OpenSSH?Ope nSSL:将 ope nssl-0.9.7l-2.aix5.1.ppc.rpm包 ftp 到/tmp/ssh 下.通过 smitty installp安装.如下图：? OpenSSH : 将 openssh-4.3p2-r2.tar.Z包 ftp 到/tmp/ssh 下， 用命令:Zcat openssh-4.3p2-r2.tar.Z | tar -xvf -解包.Smitty in stallp

5、安装.注意要先单独安装license.后面再安装 base 包,都要选择 ACCEPT new licenseagreements 为 yes.如下图:配置 SSH软件安装完成后，可以通过Issrc-s sshd查看ssh后台程序有没启动.一般安装完ssh软件,会自动激活该后台程序 .如查看未激活,用startsrc -s sshd来启 动就可以.软件安装完成后，在/etc 下会有ssh这个目录生成? 修改sshd_config 文件,为后面的2台机器之间互相访问不需要提供密码 做准备.修改的容如图红色的,vi sshd_config将前头的#号注释掉,启用就可以AIX6105SP5 版 本

6、中 需要 在 /etc/ssh/sshd_co nfig中 修改.ssh/authorized_keys为 /.ssh/authorized_keys，否则系统重启后无法启动sshd进程。在修改该配置文件之前，stopsrc -s sshd停止sshd,修改完成后启动startsrc-s sshd调试命令：/usr/sb in /sshd -ddd版本查看：ssh ? 利用命令:ssh-keygen生成key全部选择默认的就可以，生成的private key 和public Key会保存在/.ssh 目录下.如下图注：为了后面的访问方便，passphrase一行密码一般设置为空.将2台机器的p

7、ublic key互相传给对方.可以有好几种方法：ftp , rcp , scp 都可以.这里用rcp来传输，其实scp也可以传输，就是有点麻烦，由于ssh未配置好， 就不用scp 了 .女口果 rcp 显示 permission denied贝U查看 ./rhosts 文件，格式 :host user。例：bussvr01 rootPmissvr01 root同样,在另外台机器把local 的pub key传给对方.名字改为local machine named方法.有区别于本地的 pub key .可以看到对方的pub key已经传输完成?由于上面修改了 sshd_co nfig文件,其中

8、一行为AuthorizedKeysFile .ssh/authorized_keys为认证读取文件的位置.我们采取默认的方式，在/.ssh 下touch 一个authorized_keys 文件.将传输过来的对方主机的pub key 容，追加到authorized_keys 文件上，如果有多个主机建立了ssh信任机制，则连续追加即可.ULjR富一牟留匚弓g右E 一 已 q2浮g吕总 gd 弋二壬 至 3S耳瓷55SWW=SHU2MCP 思SHHUHPSJASS Kc 4UUSCX1【囁勺第盘吕呂 L-I至 ULg 42UPU=lsc s 9妥IF寸仝囁迥gEgminnnJ s=mNN3ffts

9、=5=2*s=-g5f =sssuws=mMs sx&斎 Es百S Nsuu 应旨 Eg n-UGg ugj-pi 巴昌二tng 弋一盲代3snaMP2M匸 zlsp ipn吕eEg一口 ni eEanoDfi QEgn3l+-sotM eEsruKM 雳 ga*J+-ptu QEgdLSI首口 七 Rqsltjtui -RIHel4g_u-lAD;* 蛊品 puiv-.lwg 上占 tzljococ 6CEL dkcDl 151IVJH*斎Qu 昙=DJH Q2甘三罷?|1淫更臣=匸弓巴 b5匹 PHTPrWHnln 豈 uLnMllpHSHrwn蛊X旨m = 二UQHGLnJa旨主rRLn

10、uy思号弋法1證三弋n羽瓷己tpMQJTarnll是uHmqo咅趕专畐搐r詈 弓占盍 口豈3?丘-二生-一衣nlwdrdr 弓r-JKE=H吕一三忘tiH 二 nwJKnxlcrtFlJ当弓訂 rpT 思起、器 m 鸽*=电 mH 主兰-由吕弓吕雷吕弋Thqhn-HMEpln=J= sMJN_-Mm8SSTlHn:u37二工殂S4J昙營一當qmHs芝HJ乞工芝总三曽豆留0淳H舟-一丄一羽qnaas*=疙 1.3 E*官 0EUSSGnuM旨NIh口 niw qll鬲逞 gsllss g*MS -EJTP-tnnuir ml GT-SM 284h3lp3.2Jm !=Llunrq 寸审匸 sw5

11、28 qiegd 豈/13 艺 EM Uss-328.328.mT &rlnS8U说oei S8U昙02 SRII 昙嘗i Ln畫昙 upi=l闺 purjl二 Fi M第一次访问,会提示你是否确认访问,输入yes .第二次访问，就没有改提示了 如下图：而且访问的hosts 会自动在默认的/.ssh目录下生成一个 known_hosts文件,该文件记录了 ssh目的主机的ip地址以及公钥和密码信息ssh密码问题仍然需要输入密码的情况。解决过程grid 信任配置完成后， ssh nodename date如下：配置文件中打开ssh的debug 信息记录，如下格式:1）在 /etc/ssh/ssh

12、d_config SyslogFacility AUTH Loglevel debug2）停止 SSH 进程：stopsrc -s sshd3）启动 SSH 进程：startsrc -s sshd4） 使用/usr/sbin/sshd -ddd调试，会显示 ssh进程的参数设置，确认ssh的auth日志参数配置#/usr/sb in /sshd -ddd5）syslog守护进程的配置文件/etc/syslog.conf文件中将auth 的级别设置为debug，信息放入/var/log/secure文件，确保文件存在。 /etc/syslog.conf新增如下条目：auth.debug /var

13、/log/secure然后 refresh -s sshd以上步骤是root 在nodel和node2 上都执行。6 )在nodel 节点通过grid 用户执行ssh -vvv node2 ，同时在node2 节点查 看secure 日志文件$tail -f /var/log/secure文件容提示/.ssh/authorized_keys无法打开，可能是 grid 仍然使用的是 root下的 authorized_keys文件认证，而没有使用 /home/grid/.ssh/authorized_keys文件7) root用户登录node2，修改root 用户的.ssh 目录权限：#chmo

14、d 755 /.ssh#chmod 644 /.ssh/authorized_keys8) node2 上将grid用户下的 authorized_keys文件容导入root 用户下的/.ssh/authorized_keyscat /home/grid/.ssh/authorized_keys /.ssh/authorized_keys9) 在node1上grid 用户执行ssh node2 date成功返日期，无须输入密码Windows机器ssh到主机上面介绍的是两台小机之间的互相ssh通讯的解决办法.通过windows上ssh到主机来提高访问的高安全性.在本地 windows xp的机器上，安装Secure CRT 这个软件.安装完成后，启动.